Il rischio accettato
Giusto bilanciamento fra rischio e costo delle contromisure
Ing. Anthony Cecil Wright, Direzione Risk Management – BCM
Presidente ANSSAIF
21 maggio 2004
1
Un caso recente
21 maggio 2004
2
21 maggio 2004
3
Ora
21 maggio 2004
4
Mi domando:
• Erano insufficienti le misure di rilevazione e di
spegnimento dell’incendio?
• Oppure, non era presente il numero minimo di
persone richiesto per gestire l’emergenza?
• E se fosse così, l’Assicurazione paga, o solleva
eccezioni?
• Il piano di esodo e gestione della crisi era mai
stato provato?
• Le persone presenti quella notte, avevano
avuto l’opportuno training?
21 maggio 2004
5
Basilea
21 maggio 2004
6
Uno dei casi ricordati dal Comitato: era il
1995, la Barings aveva 303 anni…
21 maggio 2004
7
Basilea: le cause dei fallimenti
21 maggio 2004
8
Una domanda
21 maggio 2004
9
Gli investimenti negli ultimi anni
• Prevalentemente investimenti nel rifacimento
dei sistemi informativi (euro; anno 2000;
Mergers & Acquisitions; logistica; ecc.) e poco
in Sicurezza ICT (tra l’1% ed il 3% del budget)
• Nei prodotti e canali di comunicazione con il
Cliente, nella maggior parte dei casi, non si
sono privilegiati gli aspetti di sicurezza.
• Si è investito in sistemi ERP per il recupero di
produttività, ma non ci si è resi conto che la
Sicurezza è indispensabile per raggiungere gli
obiettivi.
21 maggio 2004
10
Riacquisire la fiducia da parte del
consumatore
“Restoring the integrity of the fiduciary
relationship is absolutely essential to business
at this time”.
(Eliot Spitzer – HBR – may 2004)
21 maggio 2004
11
Perché tante perplessità nell’investire in
sicurezza?
• Provo a citarne alcune possibili cause:
– La sicurezza non è ancora diffusamente percepita in
azienda come un “plus”.
– Insufficiente conoscenza dei rischi ICT da parte del
Vertice Aziendale e dei dipendenti (cfr. risultanze
dello Psychological Risk Assessment della Soc.NTS);
– Ancora poche aziende eseguono annualmente
un’analisi approfondita del rischio ICT.
– La gestione del rischio ICT in azienda, dal punto di
vista metodologico ed organizzativo, non è ancora
allo stesso livello degli altri rischi (credito, mercato,
tasso, ecc.).
21 maggio 2004
12
Perché tante perplessità nell’investire in
sicurezza?
– Assenza di dati quantitativi a livello italiano; assenza
di rilevazioni sistematiche su un campione rappresentativo di aziende;
– Omessa denuncia, in diversi casi, dei sinistri
informatici subiti;
– Scarsa diffusione di una raccolta sistematica degli
incidents a livello aziendale;
– Le spinte “esogene” sono ancora insufficienti.
– Anche i consumatori non percepiscono ancora il
beneficio derivante da robuste misure di sicurezza
21 maggio 2004
13
Perché tante perplessità nell’investire in
sicurezza?
– Assenza di metodi e standard per la quantizzazione
del “rischio-ritorno”.
– Non è ancora applicato uno standard accettato e
chiaro che leghi fra loro: risk analysis, business
continuity, business impact analysis, crisis
management,…
21 maggio 2004
14
Cosa fare?
“The real challenge is to integrate all the
different operational risk components in a
consistent and efficient way”.
(da: Operational Resilience – The Art of Risk Management
– IBM)
21 maggio 2004
15
Come?
21 maggio 2004
16
Come?
• Migliorare il livello di comunicazione delle
esigenze di investimenti in Sicurezza
attraverso:
– Una migliore chiarezza dei rispettivi ruoli dei
principali attori in azienda;
– Un metodo in grado di fornire stime di possibili
perdite economiche il più possibile attendibili;
– La valutazione di ipotesi alternative, fra le quali
l’accettazione del rischio residuo;
– Un processo di individuazione delle soluzioni,
semplice, fattibile, condiviso a livello aziendale.
21 maggio 2004
17
1. Chiarire i ruoli: La Business Continuity
• E’ necessario un Business Continuity Manager?
• Se sì, chi è? In quale struttura è collocato?
• Chi indica la metodologia da utilizzare per la
B.C.M?
• L’analisi del rischio ICT è inclusa nella BCM?
• Chi fornisce le probabilità d’accadimento?
• Chi fa il calcolo costi / benefici delle diverse
soluzioni a mitigazione del rischio?
21 maggio 2004
18
La Business Continuity
21 maggio 2004
19
Banca d’Italia: Sistema dei controlli interni
• I controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono
effettuati dalle stesse strutture produttive (…);
• I controlli sulla gestione dei rischi, che hanno
l’obiettivo di concorrere alla definizione delle
metodologie di mitigazione del rischio, (…) di
controllare la coerenza dell’operatività delle
singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati
a strutture diverse da quelle produttive;
• L’attività di revisione interna, volta a individuare andamenti anomali, (…).
21 maggio 2004
20
I ruoli: una macro ipotesi, per discussione
• Security Manager:
– Sviluppo e gestione degli strumenti e metodi a
protezione degli asset; vulnerability assessment;
partecipazione in tutte le attività di pianificazione,
controllo e test.
• Global Risk Management:
– Metodologia, indicatori.
• Organizzazione:
– Normativa, processi, ICT risk analysis, crisis
management, definizione soluzioni recovery e
resumption.
21 maggio 2004
21
I ruoli
• Sistemi Informativi:
– Definizione, pianificazione e test del Piano di Disaster
Recovery; coinvolgimento in tutte le attività di analisi
e pianificazione.
• Business Units:
– Definizione possibili perdite; definizione ed aggiornamento dei processi critici; partecipazione nelle fasi di
scelta delle contromisure; formazione / informazione
del personale relativamente ai piani di gestione della
continuità; validazione dei test dei piani.
• R.U., Legale, Comunicazione, I.A.:
– Partecipazione in tutte le fasi di definizione e
pianificazione.
21 maggio 2004
22
2. Dati quantitativi: la valutazione dei
sinistri
• Per una stima della probabilità di accadimento di un
sinistro e per la valutazione del possibile danno, ci
servono dei dati di base. Esistono?
• Italia:
– L’FTI, in collaborazione con SPACE-Univ. Bocconi, pubblica
annualmente l’Osservatorio Criminalità ICT;
– l’International Crime Analysis Association esegue da
qualche tempo uno studio approfondito.
• Da oltre otto anni negli USA c’è l’indagine CSI/FBI,
ricco anche di dati economici, ed analoga esiste da due
anni in Australia (AusCert e polizia federale).
• Negli UK abbiamo degli studi della PriceWaterhouseCoopers e NHTCU (Scotland Yard).
21 maggio 2004
23
Un esempio
2003 - 8th Annual CSI / FBI Computer Crime Survey
Total
Total losses
reported
$65.643.300
$27.382.340
$6.830.500
$11.767.200
$701.500
$406.300
$70.195.900
$10.186.400
$5.148.500
$2.754.400
Average
$1.427.028
$199.871
$47.107
$135.255
$50.107
$31.254
$2.699.842
$328.594
$214.521
$56.212
$201.016.340
21 maggio 2004
Maximum
Highest loss
reported
C-E
F / (B-1)
#
Sum of losses, Average loss of losses
after excl. Max after
reported
value
exclusion
max value
$60.000.000
$5.643.300
$125.407 losses 46
$6.000.000
$21.382.340
$157.223
137
$2.000.000
$4.830.500
$33.545
145
$6.000.000
$5.767.200
$67.060
87
$250.000
$451.500
$34.731
14
$100.000
$306.300
$25.525
13
$35.000.000
$35.195.900
$1.407.836
26
$4.000.000
$6.186.400
$206.214
31
$2.000.000
$3.148.500
$136.891
24
$1.000.000
$1.754.400
$36.550
49
$116.350.000
$84.666.340
24
$148.277
572
%
8%
24%
25%
15%
2%
2%
5%
5%
4%
9%
100%
DOS
Virus
Laptop Theft
Net abuse
Telecom Fraud
Unauthorized access
Theft of Proprietary Info
Financial Fraud
Sabotage
System Penetration
I dati quantitativi
• Una valutazione qualitativa, ripetuta annualmente, delle possibili perdite economiche, subibili dall’azienda e suddivise per tipologia di
evento, è assolutamente indispensabile.
• La valutazione qualitativa è basata su una
autovalutazione dei responsabili delle business
units e dei process owners, secondo una metodologia basata su standard generalmente
accettati.
• L’autovalutazione, però, tende a sovrastimare
le perdite economiche del proprio ambito.
21 maggio 2004
25
I dati quantitativi
• I dati dell’autovalutazione devono essere
perciò confrontati con dati quantitativi.
• Tali dati devono provenire da “loss collection”
interna all’azienda e da basi dati esterne.
• Solo da tale confronto, si può auspicare di
giungere ad una valutazione abbastanza
oggettiva delle possibili perdite economiche a
fronte di eventi dannosi che, sfruttando delle
vulnerabilità, colpiscano le risorse a supporto
dei processi di business.
21 maggio 2004
26
I dati quantitativi – un possibile metodo
• Se:
• EL qualitativa >>> EL quantitativa  Elqual=Elquant
• Se:
• Elqualitatitiva<<EL quantitativa esame cause
21 maggio 2004
27
Dati quantitativi – un possibile metodo
Stima della possibile perdita massima:
• ELmax(e)=[ΣiΣt(γ(i)xLmax(i,t)/C(e,i,t))] / m x n
• Ove: (i=1,m), (t=1,n); Lmax: perdita massima registrata al tempo t, dall’indagine i, per l’evento e, ponderata con il peso γ e C(e,i,t)=n.totale casi denunciati.
• ELmed(e)= [ ΣiΣt(γ(i) x Lmed(i,t) ] / m x n
• Ove: (i=1,m), (t=1,n); Lmed: perdita media registrata al tempo t, dall’indagine i, per l’evento e, ponderata con il peso γ.
• ELtot(e) = ELmax(e) + ELmed(e) x p(e)
• Ove p(e) è la probabilità di accadimento dell’evento e:
• p(e)= ΣiΣt (γ(i) x F(i,t)), ove F= frequenza evento e
rilevata al tempo t per l’indagine i.
21 maggio 2004
28
Dati quantitativi – un possibile metodo
Quello riportato rappresenta una possibile modalità di stima della possibile perdita economica
per tipologia di evento e l’ho riportata per
provocare il dibattito.
Ai dati quantitativi menzionati, si devono aggiungere dei Key Performance Indicators necessari a tenere sotto osservazione i fenomeni e a
formulare previsioni di possibili perdite economiche.
21 maggio 2004
29
Esempio di calcolo: Stima della probabilità
di accadimento
DOS
29,6
Virus
77,4
Laptop Theft
67,3
Net abuse
58,0
Telecom Fraud
21 maggio 2004
8,3
Unauthorized access
41,8
Theft of Proprietary Info
18,0
Financial Fraud
13,4
Sabotage
11,6
System Penetration
21,1
30
Media delle frequenze
Riportate dalle indagini:
•Nhtcu – UK (2002)
•Auscert (2002-2003)
•Csi – USA (1999-2003)
Il processo
Ciclo di sensibilizzazione del personale dell’Azienda alla Sicurezza
Individuazione delle vulnerabilità e delle possibili perdite economiche
Tramite analisi del rischio ICT sulle risorse
Business Impact Analysis e determinazione dei processi critici per la
Continuità del business
Raffronto con le valutazioni quantitative
Individuazione delle contromisure più idonee e cost justified
21 maggio 2004
31
Il processo
(cont.ne)
Stima di indicatori di rischio (scorecard)
Comunicazione del possibile livello di rischio attuale e prospettico,
Ossia, dopo la messa in esercizio delle contromisure proposte
Raccolta sistematica e classificazione degli incidents di ICT security
e loro correlazione ai KPI
Presentazione periodica di rapporti al management sull’andamento
del livello di rischio (PD, EL, ecc.) e sulle azioni in corso
21 maggio 2004
32
Esempio: la metodologia IBM
misure preventive
di sicurezza
determinazione
soglie
impatto
economico
indisponibilità
indisponibilità
sostenibile
efficacia
salvaguardia
probabilità
eventi
vulnerabilità
valori
assets
impatto
economico
identificazione
processi vitali
quantificazione
gap
Business
Impact
Analysis
Risk
Analysis
identificazione
componenti
dei processi
Recoverability
Analysis
Scenario di Riferimento
stesura
piano
recovery
I/T
IT
Continuity
Plan
test
Recovery
Strategy
aggiornamento
piano aziendale
gestione emergenze
21 maggio 2004
attuali
capacità
ripristino
Enterprise
Solution
Design
Business
Continuity
Plan
33
pianificazione
riduzione
tempi di
recovery
step by step
definizione
soluzioni tecnologiche,
organizzazione,
modalità
Conclusione
• Investimenti in “Company’s ICT Security
awareness”,
• una maggiore chiarezza dei ruoli tra Business
Continuity Manager, Security Manager, Global
Risk Manager,
• un processo di Company’s Resilience supportato da metodi chiari e condivisi,
non potranno che migliorare la capacità di comunicazione e pianificazione delle esigenze in
termini di continuità del business, e di qualità
dei prodotti e dei servizi offerti dall’Azienda ai
suoi Clienti.
21 maggio 2004
34
…e ricordiamoci che non esiste solo il
BS7799…
21 maggio 2004
35
Grazie per l’attenzione, e…
21 maggio 2004
36